SSO 应该包括授权还是仅包括身份验证？

Question

因此，我们打算开发 SSO，并将其用于多个 Web 应用程序中的身份验证，以便用户在登录任何这些应用程序时都可以使用一个帐户。

我们讨论过是否应该在 SSO 中包含授权，或者每个应用程序应该单独存储授权（角色/权限）。

这里有一些要考虑的品脱：

• 授权不在应用程序之间共享，每个应用程序都有 一组不同的角色和权限，所以如果我们要 在 SSO 中存储角色，必须按应用程序完成。
• 如果我们要在 SSO 中存储用户角色/权限，我们需要设置 API 端 点来获取这些数据或将它们同步到每个应用程序？
• 集中授权是积极的还是消极的？

Answer 1

没有使用标准化 SSO 协议提供授权信息的基于标准的方法。 SSO 协议允许提供一些关于身份的信息。你仍然可以提供一些“权利字符串”

标准化的授权协议是 XACML。

同意，这有点复杂，但允许您在不更改应用程序的情况下替换集中式授权服务。

我个人会尝试使用基于标准的方法，因为它还可以保护您免受供应商锁定。 就我个人而言，我也会使用集中式方法，因为“客户端代码”对于每个应用程序都是相似的，并且管理可能会更容易。